ChatGPT sigue alucinando y ni siquiera OpenAI puede detenerlo. El lanzamiento de ChatGPT en noviembre de 2022 provocó un revuelo en materia de IA sin precedentes. La gente empezó a utilizar el chatbot para todo tipo de propósitos, incluidas tareas de investigación. El problema es que, según la propia OpenAI, la aplicación sólo genera “respuestas a las solicitudes de los usuarios prediciendo las siguientes palabras más probables que podrían aparecer en respuesta a cada mensaje”. En otras palabras: si bien la empresa cuenta con amplios datos de capacitación, actualmente no hay forma de garantizar que ChatGPT realmente muestre a los usuarios información objetivamente correcta. Por el contrario, se sabe que las herramientas de IA generativa “alucinan” regularmente, lo que significa que simplemente inventan respuestas.
Está bien para la tarea, pero no para datos sobre individuos. Si bien la información inexacta puede ser tolerable cuando un estudiante usa ChatGPT para ayudarlo con su tarea, es inaceptable cuando se trata de información sobre individuos. Desde 1995, la legislación de la UE exige que los datos personales sean exactos. Actualmente, esto está consagrado en el artículo 5 del RGPD. Las personas también tienen derecho a rectificación en virtud del artículo 16 del RGPD si los datos son inexactos y pueden solicitar que se elimine la información falsa. Además, según el “derecho de acceso” del artículo 15, las empresas deben poder mostrar qué datos tienen sobre las personas y cuáles son sus fuentes.
Maartje de Graaf, abogada de protección de datos de noyb: “Inventar información falsa es bastante problemático en sí mismo. Pero cuando se trata de información falsa sobre personas, puede haber consecuencias graves. Está claro que las empresas actualmente no pueden hacer que los chatbots como ChatGPT cumplan con la legislación de la UE cuando procesan datos sobre personas. Si un sistema no puede producir resultados precisos y transparentes, no puede utilizarse para generar datos sobre individuos. La tecnología debe cumplir los requisitos legales y no al revés”.
Simplemente inventar datos sobre individuos no es una opción. Este es en gran medida un problema estructural. Según un informe reciente del New York Times, “los chatbots inventan información al menos el 3 por ciento de las veces, y hasta el 27 por ciento”. Para ilustrar este problema, podemos echar un vistazo al denunciante (una figura pública) en nuestro caso contra OpenAI. Cuando se le preguntó sobre su cumpleaños, ChatGPT proporcionó repetidamente información incorrecta en lugar de decirles a los usuarios que no tiene los datos necesarios.
¿No hay derechos GDPR para las personas capturadas por ChatGPT? A pesar de que la fecha de nacimiento del denunciante proporcionada por ChatGPT es incorrecta, OpenAI rechazó su solicitud de rectificar o borrar los datos, argumentando que no era posible corregirlos. OpenAI dice que puede filtrar o bloquear datos según ciertas indicaciones (como el nombre del denunciante), pero no sin impedir que ChatGPT filtre toda la información sobre el denunciante. OpenAI tampoco respondió adecuadamente a la solicitud de acceso del denunciante. Aunque el RGPD otorga a los usuarios el derecho de solicitar a las empresas una copia de todos los datos personales que se procesan sobre ellos, OpenAI no reveló ninguna información sobre los datos procesados, sus fuentes o destinatarios.
Maartje de Graaf, abogada de protección de datos de noyb: “La obligación de cumplir con las solicitudes de acceso aplica para todas las empresas. Es claramente posible mantener registros de los datos de entrenamiento que se utilizaron, al menos tener una idea sobre las fuentes de información. Parece que con cada ‘innovación’, otro grupo de empresas piensa que sus productos no tienen por qué cumplir la ley”.
Hasta el momento los esfuerzos infructuosos de las autoridades supervisoras. Desde el repentino aumento de la popularidad de ChatGPT, las herramientas de inteligencia artificial generativa han estado rápidamente bajo el escrutinio de los organismos europeos de vigilancia de la privacidad. Entre otras cosas, la DPA italiana abordó la inexactitud del chatbot cuando impuso una restricción temporal al procesamiento de datos en marzo de 2023. Unas semanas más tarde, el Consejo Europeo de Protección de Datos (EDPB) creó un grupo de trabajo sobre ChatGPT para coordinar los esfuerzos nacionales. Queda por ver a dónde conducirá esto. Por ahora, OpenAI parece ni siquiera pretender que pueda cumplir con el RGPD de la UE.
Denuncia presentada. noyb ahora solicita a la autoridad austriaca de protección de datos (DSB) que investigue el procesamiento de datos de OpenAI y las medidas tomadas para garantizar la exactitud de los datos personales procesados en el contexto de los grandes modelos lingüísticos de la empresa. Además, solicitamos al OSD que ordene a OpenAI que cumpla con la solicitud de acceso del reclamante y ajuste su procesamiento al RGPD. Por último, pero no menos importante, noyb solicita a la autoridad que imponga una multa para garantizar el cumplimiento futuro. Es probable que este caso se resuelva mediante la cooperación de la UE.
